危機感9割、実践4割 AI時代に露呈したセキュリティ教育のギャップ：効果が出ない理由が判明

AI時代の到来でセキュリティ意識は確実に高まったが、その裏で“準備できている企業”は想像以上に少ないことが分かった。投資は進む一方、現場の行動は変わらないというズレはなぜ生まれるのか。

[田渕聖人，＠IT]

　Fortinetは年次グローバルレポート「セキュリティ意識とトレーニング調査レポート 2025年版」を発表した。

　同レポートは、2025年11月に第三者機関に委託し、日本を含む世界29カ国と地域の組織に属する計1850人のITセキュリティ関連の意思決定者を対象にオンラインインタビューを実施した結果をまとめたものだ。

　同調査から、セキュリティ意識向上を目的としたトレーニングとインシデント削減効果との相関関係や、AIによるサイバーリスクの影響、従業員のセキュリティに関する準備状況などが明らかになった。

やるだけで満足？　“効果が出ない”従業員向けトレーニングの特徴

　同調査によると、AI主導の脅威はセキュリティに対する従業員やリーダーの考え方を変化させたという。約9割の組織が「AIを悪用した攻撃の拡大により、セキュリティトレーニングの重要性に対する従業員の意識が高まった」と述べている。

　しかし意識と準備状況は同じものではない。「AIベースのサイバー脅威を特定、回避、報告できるよう、自社の従業員がトレーニングを受け、十分に対応可能な状態にある」と考えるリーダーは約4割だった。

　ただし、生成AIツールの適切な利用方法については対策が進んでいる。80％以上の回答者が「大規模言語モデル（LLM）ツールに関するセキュリティポリシーを導入済み、または積極的に導入中」と答えた。

　この他、こうしたAIの登場によるガバナンスの変化に伴い、インサイダーリスクへの懸念が高まっていることが分かった。4分の1以上の組織が、セキュリティ意識向上トレーニング導入の理由としてインサイダーリスクを挙げており、この割合は2025年から急増している。

　Fortinetは今回の調査で特に重要な知見として、トレーニングによるインシデント低減の効果を挙げている。67％の組織がセキュリティ意識向上トレーニングの導入後に侵入やインシデント、侵害が「中程度」または「大きく」減少したと報告した。

　なお、現在は多くの組織が対面式やPCベースのトレーニングに加えて、模擬演習や評価、継続的な定着支援を組み合わせている。こうした取り組みは、単発のトレーニングから脱却し、行動変容と継続的なリスク低減を目的としたプログラムに移行する上で有効だという。

　ただ、トレーニングにおいてもAI利用での準備状況と同様に、実効性の面で課題が残っている。「トレーニングを完全に遂行している」と報告した割合は非常に低くなっており、約70％のリーダーが「依然として従業員のセキュリティ意識が低い」と回答した。

　Fortinetは現状に対して「これは投資と成果の乖離（かいり）を浮き彫りにしている。脅威環境が変化する中で、未修了や未定着のままとどまっていたり、最新の状態に更新されていなかったりするトレーニングでは本来の価値を発揮できない。改善策としては、『短時間の研修を小まめに実施し、受講完了の確認担当を明確にする』『最新脅威に対応可能なトレーニング内容を提供する』『上層部による明確な支援』が重要だ」としている。

〜記者の目：ニュースをちょっと深掘り〜

生成AIの普及によって従業員のセキュリティトレーニングの難易度は劇的に上がった。フィッシングやソーシャルエンジニアリングなど、人間の認知の隙を突く攻撃に依然として対処する必要がある他、ディープフェイクや偽音声を駆使した高度ななりすましにも注意が求められるようになった。

さらにAIによって攻撃手法の更新速度は飛躍的に高まっており、数カ月前の知識が陳腐化しているケースは珍しくない。こうした環境において、年1回のeラーニングや座学では全く歯が立たないだろう。このギャップが“やっているのに効果が出ない”状態を生み出している。

そういう意味で、Fortinetが提言する「短時間かつ高頻度型トレーニングの実施」は重要だ。記者も経験があるが、結局、人の行動は『繰り返し』と『文脈』の中でしか変えられない。つまり、日常業務に近い形で「疑う」「確認する」「報告する」といった行動を習慣化させる設計が不可欠だろう。

トレーニングの期間と内容の“鮮度”を保つには組織が積極的にセキュリティ情報を収集し、脅威の実態をつかむ必要がある。トレーニングを企画する側・実施する側が双方で「やらせれ仕事」になってしまえば、どれだけ投資しても「守れない組織」のまま取り残されてしまうだろう。（田渕聖人）